在當今數位化發展迅速的時代,企業的資訊安全防線面臨著前所未有的嚴峻挑戰,尤其是作為第一道防線的虛擬私人網路與防火牆設備,一旦出現破口,後果將不堪設想。此篇文章深入探討了知名防火牆品牌SonicWall數年前產品中潛藏的重大安全隱患,特別是針對多因素驗證機制的嚴重漏洞。文章詳細指出,資安研究機構在近期的調查中,首度發現了針對SonicWall SSL-VPN裝置的CVE-2024-12802漏洞遭到駭客實際濫用的攻擊行動。這個漏洞的核心問題在於,當系統整合微軟的Active Directory時,會分別處理使用者主體名稱(User Principal Name)與安全帳戶管理員(Security Account Manager)的帳號名稱。這樣的設計缺陷導致不同的登入方式可以各自獨立設定多因素驗證,進而讓心懷不軌的攻擊者能夠巧妙地利用另一個帳號名稱來完全繞過多因素驗證的防護網。此篇文章強調,這是一個通用弱點評價系統分數高達9.1分的極度危險漏洞,企業在面對此類基礎設施的安全維護時,絕對不能掉以輕心。
不僅僅是揭露漏洞的存在,此篇文章更進一步巨細靡遺地剖析了駭客組織如何利用此漏洞進行一連串令人防不勝防的惡意攻擊。根據資安專家的追蹤與還原,攻擊者首先會鎖定仍在服役的SonicWall Gen 6老舊設備,利用暴力破解的方式強行取得SSL VPN的帳號控制權。緊接著,他們便利用前述的漏洞輕鬆繞過多因素驗證,長驅直入地透過VPN存取受害企業內部的檔案伺服器。文章特別點出了一個令人毛骨悚然的細節,那就是整個入侵過程竟然花費不到三十分鐘,這個速度甚至比大多數資安營運中心手動發送單一警告訊息的時間還要短暫,顯示出攻擊手法的極度高效與潛在威脅。在成功潛入系統後,駭客並未就此罷手,反而開始以極度複雜且隱蔽的手法建立後續勒索軟體攻擊的專屬管道。他們先是利用共享的管理員密碼建立遠端桌面協定連線,接著企圖安裝用於幕後操縱伺服器的Cobalt Strike後門程式,更令人擔憂的是,駭客還運用了自帶漏洞驅動程式的高階手法來強制關閉端點偵測與回應系統的防護。文章的研究人員研判,這一系列精心策劃的佈局,最終目的無非是為了大規模竊取企業機敏資料或是全面部署勒索軟體,對企業營運造成難以抹滅的打擊。
面對如此嚴峻的資安威脅,企業究竟該如何自保?此篇文章在最後一個部分深入探討了設備修補不完整的根本原因,並提出了具體且實用的防禦建議。事實上,原廠早在漏洞被揭露後就已經釋出了韌體更新,但為何近期仍會發生駭客成功入侵的案例?研究發現,在Gen 6這類較舊款的裝置上,單純依靠系統自動安裝韌體更新是完全不足以修補該漏洞的。系統管理員必須親自根據官方發布的安全公告指示,手動進行輕量級目錄存取協定的額外六項繁瑣設定。然而,一般企業標準的修補程式管理工作流程往往會忽略或無法有效驗證這段手動配置的過程,導致這些舊款設備表面上看來已經更新完畢,實則依然門戶洞開,隨時可能遭到駭客濫用。相較之下,Gen 7及後續較新版本的設備則沒有這方面的困擾。因此,此篇文章大聲疾呼,組織絕對不能單憑檢視韌體版本來判斷修補工作是否已經徹底完成,這種管理上的盲點不僅僅存在於特定品牌的設備中。為了徹底防堵類似事件重演,此篇文章強烈建議還在使用舊款設備的用戶務必嚴格遵循官方指南完成所有手動修補步驟,同時也應善用Windows內建的應用程式控制功能來封鎖已知的漏洞驅動程式,並定期嚴格盤查VPN帳號權限,堅決避免共用本機管理員憑證,唯有多管齊下,才能在險惡的網路環境中守護企業的數位資產安全。
